Standard-Datenschutzmodell

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen

Das Standard-Datenschutzmodell (SDM) ist eine Methode, mit der die Übereinstimmung von Anforderungen des Datenschutzrechts und technisch-organisatorischen Funktionen personenbezogener Verfahren in Deutschland überprüfbar wird. Das SDM soll erstens zu bundesweit abgestimmten, transparenten und nachvollziehbaren Beratungs- und Prüftätigkeiten der Datenschutzbehörden führen; und zweitens Organisationen ein Werkzeug an die Hand geben, um selbsttätig personenbezogene Verfahren datenschutzgerecht einrichten und betreiben zu können.

Die wesentliche Komponente des SDM besteht aus einem Konzept von sieben elementaren Gewährleistungszielen. Als Gewährleistungsziele gelten die Sicherung der Verfügbarkeit, Integrität, Vertraulichkeit, Transparenz, Intervenierbarkeit, Nicht-Verkettbarkeit, ergänzt um das allgemeine Gewährleistungsziel der „Datenminimierung“.

Die Gewährleistungsziele fußen auf den in verschiedenen deutschen Landesdatenschutzgesetzen enthaltenen sechs Schutzzielen Verfügbarkeit, Integrität, Vertraulichkeit, Transparenz, Intervenierbarkeit, Nicht-Verkettbarkeit sowie dem Prinzip der Datensparsamkeit.

Historie[Bearbeiten | Quelltext bearbeiten]

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder (DSBK) hatte das Konzept der Schutzziele als Teil der Modernisierung des Datenschutzrechts 2010 verabschiedet. Die DSBK hatte die Operationalisierung der Schutzziele durch das SDM dann im Oktober 2014 akzeptiert, aber das Modell selber noch nicht veröffentlicht; im Oktober 2015 wurde das SDM schließlich in Form eines 40 Seiten umfassenden SDM-Handbuchs veröffentlicht. Ein Referenzschutzmaßnahmenkatalog wird vom Arbeitskreis Technik (AK-Technik) bzw. durch die Unterarbeitsgruppe SDM des AK-Technik (UAGSDM) erarbeitet. Die DSBK entscheidet als Eigentümerin des Modells über deutschlandweit konsentierte Fortschreibungen des Modells und dessen Referenzmaßnahmen.

Im November 2016 wurde die Fassung 1.0 des SDM-Handbuchs mit einstimmigem Beschluss der DSBK unter Enthaltung des Freistaats Bayern, welcher ursprünglich dem Entwurf 0.9 noch zugestimmt hatte, beschlossen.

Festlegung des Schutzbedarfs aus der Betroffenenperspektive und Eingriffsintensität[Bearbeiten | Quelltext bearbeiten]

Das Konzept des SDM sieht vor, diese Gewährleistungsziele heranzuziehen und, in methodischer Anlehnung an IT-Grundschutz des BSI, um Schutzbedarfsfeststellungen zu ergänzen. Im Unterschied zu Grundschutz ist die Schutzperspektive aus der Sicht einzelner Betroffener formuliert und der Schutzbedarf aus der Eingriffsintensität eines personenbezogenen Verfahrens abgeleitet, nicht jedoch aus dem möglichen Schadensrisiko, das aus der Schadenswahrscheinlichkeit und Schadenshöhe errechnet wird.

Bezug des SDM zum IT-Grundschutz und zu ISO-Normen[Bearbeiten | Quelltext bearbeiten]

Die Soll-Vorgaben einer Datenschutzprüfung ergeben sich aus dem Datenschutzrecht. Datenschutzanforderungen haben einen sehr viel höheren Verpflichtungsgrad als Anforderungen der IT-Sicherheit, wie sie bspw. vom IT-Grundschutz des BSI oder von Normen der ISO formuliert werden. Ohne eine Rechtsgrundlage dürfen Organisationen keine Personendaten verarbeiten. Dieses grundlegende Verbot mit Erlaubnisvorbehalt (vgl. § 4 des Bundesdatenschutzgesetzes) entspricht der grundlegenden Firewall-Regel, wonach zunächst alle Ports zu schließen sind (deny-all); anschließend werden nur die unverzichtbaren Ports für Kommunikationsverbindungen bzw. die notwendige Datenverarbeitung geöffnet. Deshalb beginnt jede Datenschutzprüfung personenbezogener Verfahren mit der Prüfung der Rechtsgrundlagen, die eine zweckdefinierte Verarbeitung legitimieren. Trägt diese Rechtsgrundlage, können Soll-Vorgaben an eine datenschutzgerechte Datenverarbeitung mit technisch-organisatorischen Schutzmaßnahmen (vgl. Anlage zu § 9 Satz 1 BDSG) formuliert und mit den Ist-Feststellungen einer Bestandsaufnahme vor Ort verglichen bzw. beurteilt werden.

Literatur[Bearbeiten | Quelltext bearbeiten]

  • Martin Rost: Standardisierte Datenschutzmodellierung. In: DuD – Datenschutz und Datensicherheit. 36. Jahrgang, Heft 6, 2012, S. 433–438.

Weblinks[Bearbeiten | Quelltext bearbeiten]